TR/Dldr.Agent.gcx - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Dldr.Agent.gcx
La date de la découverte:	24/10/2008
Type:	Cheval de Troie
Sous type:	Downloader
En circulation:	Oui
Infections signalées	Moyen
Potentiel de distribution:	Élevé
Potentiel de destruction:	Élevé
Fichier statique:	Non
Taille du fichier:	~ 360.000 Octets
Version IVDF:	7.00.07.81

Général Méthode de propagation:
   • Le réseau local

Les alias:
   • Mcafee: Spy-Agent.da trojan
   • Kaspersky: Trojan-Downloader.Win32.Agent.alce
   • F-Secure: Trojan-Downloader.Win32.Agent.alce
   • Sophos: Troj/Gimmiv-A
   • Bitdefender: Win32.Worm.Gimmiv.A

Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il télécharge un fichier malveillant
   • Il crée un fichier malveillant
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

Fichiers Les fichiers suivants sont créés:

– %SYSDIR%\wbem\sysmgr.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Dldr.Agent.gcx

– %TEMPDIR%\%chaîne de caractères aléatoire de huit digits%.bat Ce fichier séquentiel est employé pour effacer un fichier.

Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SYSTEM\ControlSet001\Services\sysmgr\Parameters]
   • "ServiceDll"=%SYSDIR%\%ficher dll viral%
   • "ServiceMain"="ServiceMainFunc"

La clé de registre suivante est ajoutée:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
   • "sysmgr"=%valeurs hexa%

Porte dérobée Serveur de contact:
Un des suivants::
   • 212.227.93.146
   • 64.233.189.147
   • 202.108.22.44

En conséquence il peut envoyer de l'information. En plus, il répète la connexion périodiquement. Ceci est fait par l'intermédiaire de la requête HTTP GET du script PHP.

Il envoie de l'information au sujet de:
    • La liste de Ajout/Suppression de programmes.
    • Nom de l'ordinateur
    • Information sur le réseau
    • Les informations rassemblées, décrites dans la section
    • Nom d'utilisateur
    • Information sur le système d'exploitation Windows

Vol d'informations Il essaie de voler l'information suivante:

– Les mots de passe des programmes suivants:
   • Outlook Express
   • MSN Messenger
   • Protected Storage

Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.

Voir la description brève ici.

Description inséré par Thomas Wegele sur Fri, 24 Oct 2008 07:24 (GMT+1)
Description mise à jour par Alexander Vukcevic sur Fri, 24 Oct 2008 09:13 (GMT+1)

» À propos des logiciels malveillants
» À propos de l'hameçonnage
» Virus "in the Wild"

« Retour